Au troisième trimestre 2020, les entreprises européennes généraient seulement 16 % du chiffre d'affaires du marché mondial du cloud. En effet, la Commission européenne a reconnu en 2021 : "aujourd’hui, la data produite en Europe est généralement stocké et géré en dehors de l’Europe, et sa valeur est aussi extraite en dehors de l’Europe". Dans le « vieux continent », 73 % des entreprises n’ont encore pas adopté le cloud computing (contre 60 % aux Etats-Unis et en Asie, d’après IDC), ce qui fait de l’Europe le prochain Eldorado pour la ‘big tech’.
La pandémie a propulsé cette « décennie du cloud » au point de faire des services de cloud l’épine dorsale de la transition numérique et de notre société tout entière. Cependant, si nous ne protégeons pas notre souveraineté, la majeure partie de cette croissance pourrait profiter à des acteurs non européens.
De même, comme démontré par la législation de type RGPD, les valeurs européennes de protection des données, la transparence et l’humanisme ne sont pas toujours en adéquation avec les principes américains et asiatiques. C’est pourquoi il devient nécessaire pour les grands fournisseurs de cloud souverains d’Europe de protéger les valeurs de notre continent et d’aider à la croissance des acteurs locaux.
Malgré ces différences, ou peut-être à cause d’elles, les parties prenantes extra-européennes n’ont pas cherché à protéger leurs clients d’Europe des conséquences de la législation extraterritoriale (concrètement, le Cloud Act des Etats-Unis autorise le gouvernement américain à accéder aux données stockées par les entreprises étatsuniennes même si elles sont stockées en dehors du territoire américain). Non contents de cela, ces mêmes acteurs ont tout fait pour entraver les efforts de l’Europe pour renforcer ses entreprises technologiques, mais aussi pour ralentir le développement de l’écosystème technologique européen vers l’indépendance.
La souveraineté selon Scaleway
Qu’est-ce que la « souveraineté » selon Scaleway ? Ou plutôt, que n’est-elle pas ?
Telle qu’elle est définie par le Larousse, la souveraineté signifie à la fois « indépendance absolue » et « pouvoir qui n’est limité par aucun autre ». Comme on le voit, ce terme est intimement lié à la notion de liberté. Il est aussi traditionnellement associé au concept de territoire, comme l’Etat nation, une définition classique qui ne s’applique pas au monde numérique, dépourvu de frontières mais bâti sur de fortes interdépendances à l’échelle mondiale.
C’est pourquoi nous ne devons pas confondre souveraineté numérique et « souverainisme ». Il ne s’agit pas là d’une forme dogmatique d’indépendance. Il faut également se garder d’assimiler la souveraineté au protectionnisme ou à l’isolationnisme. Elle a pour but d’atténuer les effets négatifs du monopole exercé par une minorité d’acteurs sur le marché du cloud. La souveraineté n’est pas synonyme d’exclusion, c’est un outil destiné à rééquilibrer les rapports de force, pour faire entendre la voix de l’Europe dans la conversation internationale, et protéger ses valeurs universelles.
Pour nous, atteindre la souveraineté du cloud européen est d’autant plus faisable que les fournisseurs de l’UE peuvent répondre aux besoins de 80 % du marché.
À l’échelle européenne, fonder l’offre cloud sur la transparence et la confiance relève de la plus haute nécessité.
Afin de proposer une vision plus transparente et complète de la souveraineté, il est d’abord important de bien définir ce qu’est la « confiance ».
Fonder l’offre cloud sur la transparence et la confiance relève de la plus haute importance à l’échelle européenne, si nous voulons aligner la transition numérique de nos économies et de nos sociétés avec les valeurs de l’UE. Cela nous permettra aussi aux adoptants du cloud, présents ou futurs, de faire des choix libres et informés, fondés sur des critères impartiaux.
Pour définir la confiance dans le contexte du cloud, il est nécessaire d’analyser toute la stack de services de cloud computing par fournisseur, de l’immobilier jusqu’aux composants logiciels, dont est constitué le cloud, afin de garantir une transparence complète sur la juridiction applicable, en fonction des conditions de stockage, de calcul et de traitement des données. De ce point de vue, la doctrine « cloud au centre » présentée en mai par le gouvernement, avec un nouveau label « cloud de confiance », soulève des questions clés pour la France, mais aussi d’autres pays. La notion de « confiance » est de première importance pour la certification SecNumCloud, instaurée par le gouvernement français, et qui ne peut être accordée qu’à des fournisseurs de cloud travaillant avec le secteur public. Malheureusement, cette certification, liée à plusieurs vérifications légales extraterritoriales, exclut de nombreux acteurs français souverains. Nous croyons qu’il est primordial de définir le « cloud de confiance » avec plus de clarté avec, peut-être, une nouvelle certification provenant de l’agence française de cybersécurité, l’ANSSI.
Vers une politique du « multi-cloud first »
Pour la même raison qu’il est mal avisé de stocker toutes ses données sur un seul serveur, dépendre de quelques fournisseurs dominants ne peut mener qu’au désastre. La dépendance est l’ennemie de la résilience. Une approche multi-cloud est donc nécessaire.
Pour que cette approche fonctionne, cependant, il faut que tous les fournisseurs développent des architectures interopérables, afin de permettre la portabilité des données et de mettre un terme aux verrouillages, qui lient les clients aux fournisseurs par des contrats à long terme, qui leur interdisent de transférer leurs données ailleurs. Le code de conduite de SWIPO pour la portabilité des données offre de bonnes recommandations. Cependant, à ce jour, les plus grands fournisseurs de cloud refusent d’adhérer à ces principes.
Il existe une résistance similaire à l’encontre de la Législation de l’UE sur les marchés numériques (DMA, pour Digital Market Act), laquelle a pour but de rééquilibrer les règles de la concurrence dans la sphère du numérique. Certaines entreprises parmi les GAFAM vont même jusqu’à exiger le retrait pur et simple des services de cloud computing du DMA.
Enfin, le nouveau label qui doit être proposé incessamment par l’association GAIA-X, créée autour du cloud européen, pourrait bien donner un coup d’accélérateur à l’adoption du cloud à travers l’Europe. Cependant, ce label pourrait renforcer les acteurs hors UE, au lieu d’encourager la diversité des écosystèmes européens.
Que faire, alors ? Il est clair que, sans une solide base législative, le secteur du cloud de l’UE ne peut accroître sa souveraineté.
L’autonomie de l’industrie, un moteur pour la souveraineté
Les législations française et européenne doivent stimuler la croissance des acteurs de l’UE, et rééquilibrer les possibilités d’accès, encore asymétriques, aux marchés publics. Aux USA et en Chine, les acteurs locaux, à la domination déjà bien établie, ont fait de grandes avancées vers l’acquisition du marché public, excluant ainsi les fournisseurs européens. Ces derniers sont également tenus à l’écart par les réglementations sur la localisation des données appliquées par ces pays. Cette double contrainte est particulièrement injuste d’autant que l’inverse n’existe pas en Europe.
Il nous semble donc que les budgets européens et des États nationaux devraient montrer l’exemple et :
- prioriser l’adoption de fournisseurs (multi-) cloud européens ;
- garantir des choix d’acquisition du cloud public fondés sur la transparence, l’innovation, la sécurité, la souveraineté et la neutralité climatique ;
- faire du principe « d’acheter de la technologie européenne » plus qu’un instinct et l’intégrer directement à la loi.
Les parties prenantes du cloud européen sont pour la plupart des petites ou moyennes entreprises. Dans ce combat de “David contre Goliath”, elles ont besoin de l’aide des législateurs pour créer une situation équitable.
Pour toutes ces raisons, nous pensons que l’indépendance vis-à-vis des technologies extra-européennes doit devenir une priorité absolue pour nos législateurs dans toute l’Europe. Mettre en place un acte juridique qui limite les accès asymétriques aux marchés publics locaux pour les acteurs non-européens serait une façon concrète de rééquilibrer la concurrence, tout en donnant des opportunités positives au cloud européen.
Sans ces protections et assurances, les agissements anticoncurrentiels de certains grands acteurs se poursuivront dans le futur, au détriment des entreprises et du secteur technologique européens. Voici, pour conclure, ce qui fait de la souveraineté la clé de cette nouvelle décennie du cloud.
Yann Lechelle, CEO de Scaleway
